code injection poate fi folosit de un atacator pentru a introduce cod rău intenționat într-un program de calculator vulnerabil și pentru a schimba cursul de execuție.
tot software – ul are un fel de intrare-un program sigur ar trebui să trateze toate intrările Dino sursă externă ca fiind „de încredere” până când nu se dovedește altfel. Vulnerabilitățile de injectare a codului există atunci când un atacator poate trimite intrări executabile unui program și poate păcăli software-ul să ruleze acea intrare. Acest lucru oferă atacatorului un canalprin care pot eluda orice restricții de securitate puse în aplicare de autorul programului.
unele tipuri comune de injecție de cod sunt:
-
injecție SQL. Tratamentul nesigur al parametrilor HTTP atunci când se construiesc interogăripe un site web poate permite unui atacator să ruleze declarații SQL arbitrare pe o aplicație vulnerabilă.
-
Cross Site scripting. Tratamentul nesigur al parametrilor HTTP poate permite injectarea de Javascript rău intenționat într-o aplicație web.
-
executarea comenzii. Tratamentul nesigur al parametrilor HTTP poate permite unui atacatorpentru a rula comenzi shell arbitrare pe serverul web.
consecințele unei injecții de cod de succes sunt, în general, dezastruoase pentruautorul aplicației. Riscurile pot fi atenuate prin asigurarea unui tratament sigur de intrare de încredere și prin practicarea apărării în profunzime pentru a limita privilegiile aplicației care rulează.